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QualysGuard” PCI Compliance 


操作 ガイ ド 


よう こそ 

QualysGuard PCI で は 、 使い や すさ と コス ト 効 率 に 優れ 、 高 度 に 自動 化 さ れ た 手段 を 提供 する こと で 、 企 業 、 加 
盟 店 、 お よび オン ライ ン サ ービス プロ バイ ダ が Payment Card Industry デー タ セ キュ リティ 基準 (PCI DSS) の コ 
ンプ ライ アン ス を 達成 で きる よう 支援 し ます 。 こ の 基準 は 、 ク レジ ッ ト カ ー ド 会 員 の 情報 を 起こ り 得 る セキ ュ リ ティ 侵 
害 か ら 保護 する た め に 必要 な ガイ ダン ス を 提供 する も の で す 。 


QualysGuard PCI は PC| コン プラ イア ンス 認証 テス ト お よび レポ ー ト の た め の 最 も 精度 が 高く < 使い や すい ツー ル 
で す 。 Qualys は 認定 スキ ャ ン ベ ン ダ (ASV) で す 。 


(⑳uyscuARpr PCI (oo sec 

PP コノ フライ アン スズ Jason Kim [Sports Shop, Inc.] | ヘル プ | ロダ アウ ト 
= “ 

ーーーーー ネッ トワ ー ク スキ ャ ン FAQ 

字 ネッ トワ 非 準拠 スキ ャ ン の 開始 | | アセ ッ ト ウ ィ ザ ー ド キネ ットワーク スキ ャ ン 


(WW コン ブラ イア ンス 

国 Web アブ リケーション ・ 

| 同 診 票 ~ 

@& アカ ウン ト 

5 サポ ー ト へ の お 問い 合わ 
國 リソー ス 


PCI ス キャ ン の た め の IPS の 構成 方 
法 を 教え て くだ さい 。 


スキ ャ ン の 対象 に な る の は 、 ど の よ 
うな P アド レス で すか 。 

スキ ャ ン ぞ 実行 し た 後に 必要 な 手 
! 中 は 何で すか 。 

レポ ー ト の 生成 方 法 を 教え て くだ さ 
Le 


ミ 周 診 村 

自己 評価 問診 票 問診 球 の 記入 は 誰が 行う べき で す 上 
未完 了 (最終 更新 日 0/09/2012 完了 | | SAQ ウ ィ ザ ー ド が 

問 人 本 に は 何 種類 の パー ジョ ン が 

あり ます か 。 

問診 喜 の 記入 方 法 教 えて くだ さ 
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全般 

ログ イン 認証 情報 の 変更 方 法 を 孝 

えて < だ さい 
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スキ ャ ン 前 の スキ ャ ナ IP アド レス の チェ ッ ク 


Qualys PCI サー ビス で スキ ャ ン さ れる の は 、 イ ンタ ーネット か ら ア クセ ス 可 能 な IP の み で す 。 外部 (ペリ ミタ ー) 
の スキ ャ ニン グ に は 、 複 数 の スキ ャ ナ が 自動 的 に 設定 され ます 。 これ ら は 、PCI コン プラ イア ンス サー ビス を ホス 
ト し て いる セキ ュ ア オペ レー ショ ン セ ンタ ー(SOC) に あり ます 。 ネッ トワ ー ク に よっ て は 、 信頼 で きる IP の リス ト に 
スキ ャ ナ の IP を 追加 し 、 サ ービス が 範囲 内 の シス テム コン ポー ネン ト に プロ ー ブ を 送信 で きる よう に する 必要 が 
あり ます 。 


スキ ャ ナ の IP は 、64.39.96.0/20(64.39.96.1-64.39.111.254) で す 。 


無断 複写 転載 を 禁じ ます 。 2012-2015 年 クオ キリ スジ ャ パン 株 式 会 社 


外部 ネッ トワ ー ク スキ ャ ン 


1 DSS v3.0 要件 11.2.2 に 従い 、 加 盟 店 は 認定 スキ ャ ン ベ ン ダ (ASV) を 通じ て 外部 脆弱 性 スキ ャ ン を 四半 期 
一 度 実行 する 必要 が あり ます 。 カー ド 会 員 デ ー タ ンス テム コン ポー ネン ト の すべ て の 部 分 を スキ ャ ン す る こと が 
DE PCI モジ ュー ル に より 、 外部 ネッ トワ ー ク スキ ャ ン 要 件 を 満た すこ と が で きま す 。 


PCI DSS 外部 ネッ トワ ー ク スキ ャ ン 要 件 の 範囲 内 の すべ て の イン フラ スト ラク チャ の IP アセ ッ ト を PCI アカ ウン 
ト に 追加 し ます 。 アカ ウン ト の IP アセ ッ ト を 表示 する に は 、「 ア カウ ント 」…「IP アセ ッ ト 」 を 選択 し ます 。 IP アド レス 
の 追加 は 、 購 入 し た IP の 合計 数 まで 可能 で す 。 


アセ ッ ト ウ ィ ザ ー ド 


「 ホ ー ム 」 ペ ー ジ に ある 「 ア セッ トウ ィ ザ ー ド 」 ボ タン を クリ ッ ク し ます (また は 「 ア カウ ント 」…「IP アセ ッ ト 」 を 選択 し 、 
ウィ ザー ド を 選択 し ます ) 。 ウィ ザー ド を 使用 し て 、 外部 ネッ トワ ー ク スキ ャ ン の 範囲 内 の イン フラ スト ラク チャ を 定 
義 で きま す 。 イン ター ネッ ト に 接続 し て いる IP アド レス や IP 範囲 を すべ て アカ ウン ト に 追加 する 必要 が あり ます 。 
PCI 範囲 内 の イン フラ スト ラク チャ を ホス ト す る ドメイン が ある 場合 は 、 そ れ ら の ドメイン も アカ ウン ト に 追加 し な け 
れ ば な り ま せん 。 


ネッ トワ ー ク スキ ャ ン ァ ー 


非 準拠 スキ ャ ン の 開始 | | アセ ッ ト ウ ィ ザ ー ド 


スキ ャ ン 履 歴 すべ て の 脆弱 性 


重要 ! ウィ ザー ド で は 、 和 干渉 され ず に スキ ャ ン の 実行 が 可能 で ある か どう か が 尋ね られ ます 。 外部 (ペリ ミタ ー) 
スキ ャ ン 用 に 複数 の スキ ャ ナ が 用 意 さ れ て お り 、 ス キャ ナ IP アド レス が 表示 され ます 。 ネッ トワ ー ク に よっ て は 、 
信頼 で きる IP の リス ト に スキ ャ ナ IP を 追加 する 必要 が あり ます 。 


外部 ネッ トワ ー ク スキ ャ ン の 開始 


「 ホ ー ム 」 ペ ー ジ に ある 「 ス キャ ン の 開始 」 ボ タン を クリ ッ ク し ます (また は 「 ネ ットワーク 」…「 新 規 ス キャ ン 」 を 選択 し 、 
ウィ ザー ド を 選択 し ます ) 。 


ネッ トワ ー ク スキ ャ ン ーー 


非 準拠 スキ ャ ン の 開始 | | アセ ッ ト ウ ィ ザ ー ド 


スキ ャ ン 履 歴 すべ て の 脆弱 性 


ヒン ト - 既に Qualys VM で 外部 PCI ネッ トワ ー ク スキ ャ ン を 実行 し て お り 、 こ の スキ ャ ン を PCI モジ ュー ル と 共 
有 し て いる こと も あり ます 。 その 場合 は 、 す ぐに レポ ー ト を 実行 し 、 認証 ス テッ プ を 完了 する こと が で きま す 。 詳細 
は 、 こ の ドキ ュ メ ント の 「 認 証 用 の ネッ トワ ー ク レポ ー ト の 作成 」 の 項 で 後ほど 説明 し ます 。 
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次 に 、「 新 規 ス キャ ン 」 ペ ー ジ が 表示 され ます 。 スキ ャ ン 設 定 を 選択 し て TOK」 を クリ ッ ク し ます 。 


| (9uAuyscuARpr PCI 「 
| 
PCI コン ブライ アン スズ Jason Kim [Sports Shop, Inc.] 
新規 スキ ャ ン 
スキ ャ ン 議 定 
* タ イト ル My External Network Scan 
* 淀 域 由 中 マ 謀 時 上 る 一 1 
"対象 IP すべ て の jp 4 2 
〇 IP を 選択 
"開始 ②⑤ 今 すぐ 開始 一 一 一 3 
〇 後 で 開始 
OK キャ ン セ ル 


@ 2012 Qualys. Inc ブラ イバシー ポリ シー 


1. 帯域 幅 に は 、 一 連 の スキ ャ ン パ フォ ー マ ン ス 設 定 が 含ま れ て いま す 。 まず は 「 中 」 に する こと を お 勧め し 
ます 。 設 定 の 詳細 に つい て は 、「 詳 細 を 見 る 」 リ ンク を クリ ッ ク し て くだ さい 。 


2. スキ ャ ン 対 象 と し て 、 ア カウ ント の 「 す べ て の IP」 ま た は 特定 の IP を 選択 し ます 。 PCI コン プラ イア ンス の 
要件 を 満た す に は 、 ア カウ ント に ある すべ て の IP が スキ ャ ン さ れ 、 それ ら の IP で PCI 脆弱 性 が 1 つも 
検出 され な い 状 態 で ある 必要 が あり ます 。 コ ンプ ライ アン ス を 達成 する 必要 が ある IP が 大 量 に ある 場合 
は 、 一 度 に 少し ずつ IP を スキ ャ ン す る と 、 改 善 プ ロ セ ス が 容易 に な り ま す 。 


3. スキ ャ ン を 後 で 実行 し た り 、 日 単位 、 週 単位 、 月 単位 で 定期 的 に 実行 する よう に スケ ジュ ー ル する こと が 
で きま す 。 脆弱 性 スキ ャ ン の 結果 を 継続 的 に 受け 取れ る よう に 、 ス ケ ジ ュ ー ル を 設定 する こと を お 勧め し 


ます 。 
スキ ャ ン の 開始 スキ ャ ン が 開始 され る と 、 
に こと ゴ く に 
スキ ャ ン は 正常 に 開始 し まし た 。 「 ス キャ ン 結果 」 セ クシ ョ ン で スキ ャ ン の ステ ー タ ス を 確認 する こ 「 ス キ ャ ン 結 果 1 で スキ ャ ン 
と が で きま す 。 銀行 | に 送付 する PCI コ ン ゴ ライ アン スレ ポー ト を 生成 する に は 、「 コ ンプ ラ イア ン の 進 行 状 況 を 確 認 で き ます 。 


スス テー タス 」 セ クシ ョ ン に 移動 し ます 。 


| Scan Results Status Report 


EE 
WW 
cl 


Go to Scan Results Go to Compliance Status 


スキ ャ ン の ステ ー タ ス を 確認 し 、 終了 後に 結 スキ ャ ン が 終了 し た ら 、「 コ ン ブ ラ イア ンス ステ 

果 を ダウ ン ロ ー ド する に は 「 ス キャ ン 結果 」 に ー タ ス 」 セ クシ ョ ン に 移動 し 、 銀行 に 送付 する 

戻り ます 。 PCI コン プラ イア ンス レポ ー ト を 生成 する こと 
が で きま す 。 
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スキ ャ ン 結 果 の 表示 


「 ネ ットワーク 」「 ス キャ ン 結 果 」 で 、 ス キャ ン リ スト 内 の スキ ャ ン を 表示 で きま す 。 脆弱 性 テス ト の 実行 中 は 、 ス 
キャ ンス テー タス が 「 実 行 中 」 に な り ま す 。 ステ ー タ ス が 「 終 了 」 に な る と 、 ス キャ ン 全 体 の PCI コン プラ イア ンス が 
また は と 表示 され 、 検知 され た 脆弱 性 が スキ ャ ン 結 果 に 表示 され ます 。 スキャン 結果 レポ ー ト を PDF 
形式 で ダウ ン ロ ー ド する に は 、[ 叶 (「 ダ ウン ロー ド 」) を クリ ッ ク し ます 。 


(9uAuysGuARpr PCI | sas 
| の ニア ア テン ジア Jason Kim [Sports Shop, Inc.] | ヘル プ | ロダ アウ ト 
信 キー ム スキ ャ ン 
補 ネッ トワ ー ク ^ | | @ 新規 スキ ャ ン QQ 検索 1-1/1 図 Db]| 
詳細 再 スキ ャ ン ダダ ウン ロー ド 蜂 可 性 スキ ャ ンタ イト ル スキ ャ ンス テー タス スキ ャ ン 日 Y コン ブラ イア ンス キャ ン セ ル 
寺 ©  @ 呈 WA Ny ExtemalNetwork scan 終了 1212/2012 @ 
スケ ジュ ー ル スキ ャ ン a ーー - ー 
スキ ャ ン 結 果 0 
監 弱 性 
放 栓 出 居 歴 
琵 動 サー ビス レポ ー ト 
( 補 コン プラ イア ンス 
国 Web アゴ リケーション - スキ ャ ン の 詳細 
| 回 診 喜 ~ 
ー タイ トル : My External Network Scan 
8 アカ ウン ト > 開始 日 : 12712/2012 17:03:01 
@ サポ ー ト へ の お 同 い 合 む 開始 ユー ザ : Jason Kim 
男 リフ ー ス スキ ャ ン 実 行 時 間 : 00:00:26 
アク ティ ブ な ホス ト : 2 
タイ ブ : オン デマ ンド 
帯 堪 幅 : 中 
スキ ャ ンス テー タス : 終了 
対象 IP: 10.10.25.100, 
10.10.25.112 


スキ ャ ンス テー タス 「 イ ン ポ ー ト 中 」 の 意味 - イン ポー ト 中 と は 、 ユ ー ザ が VM モジ ュー ル で 外部 PCI ネッ トワ ー ク 
スキ ャ ン の 共有 を リク エス ト し 、 こ の スキ ャ ン が イン ポー ト さ れ て いる 最 中 で ある こと を 意味 し て いま す 。 完了 後 は 
ステ ー タ ス が 「 終 了 」 に な り 、PCI アカ ウン ト に な か っ た スキ ャ ン 済 み IP が 追加 され ます 。 


現在 の 脆弱 性 と 修正 の 表示 


スキ ャ ン リ スト に 移動 し 、 較 軒 を クリ ッ ク す る と 、 ス キャ ン の 現在 の 脆弱 性 が 表示 され ます 。 フ ィ ル タ を 使用 する 
と 、 目 的 の 脆弱 性 を 見 つけ や すく な り ま す 。 PCI コン プラ イア ンス の 不 合 格 の 原因 と な っ て いる 検知 済み の 脆弱 
性 を 見 つけ る に は 、「PC| 非 準拠 の 脆弱 性 の み 表示 」 チ ェ ッ クボ ックス を クリ ッ ク し ます 。 


(⑳ い uscuARpr PCI on 
PCI コン ブラ イア ンス Jason Kim [Sports Shop, Inc.] | ヘルプ | ロダ アウ ト 
< ネ ホーム 現在 の 脆弱 性 コン ブラ イア ンス ステ ー タ ス ト 

TP アド レス に よる 検索 結果 の フィ ル タ 潜在 的 な 蜂 弱 性 の 重大 度 | | アカ ウン ト の サマ リ 

1 つま た は 複 散 の P アド レス や 第 囲 を op 語 sat7 イ PJL また | は ネス トシ 高 | 

入力 し ます 。 補 数 の 場合 は カン マ で 区 切っ | | QID, 降 認 性 タ イト ル ま た は ホス ト 名 口 高 人 a 

し ます っ + | = * り 

Ip アド レス を 検索 | | 図 PCI 非 準 抱 の 脆弱 性 の み 表 示 

| 議 栓 下 確認 済み の 蜂 祥 性 の 重大 度 ーーーーー 
ーーーーーーーーーーー ーー 低 
クリ ア TP アド レス を 検索 回 男性 回 四 放り 思 四 ) 口 高 口中 口 低 


| ライ レタ を 非 表示 | ーー 
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スキ ャ ン 結 果 で は 、 各 脆弱 性 の PC| コン プラ イア ンス ステ ー タ ス に また は の マー ク が 付き 、 問題 の 
詳細 な 説明 と セキ ュ リティ 専門 家 か ら 検 証 済 み の 解決 策 が 示さ れ ま す 。 リ スト か とら 脆弱 性 を 選択 する と 、 右 側 に 
検知 の 詳細 が 表示 され ます 。 PCI コン プラ イア ンス ステ ー タ ス の 横 に ある (情報 アイ コン ) を クリ ッ ク す る と 、PCI 
コン プラ イア ンス の 合格 また は 不 合格 理由 を 確認 で きま す 。 


(⑳ い uscuARpr PCI ooo sca 


PCI コン プラ イア ンス 


< ホーム 現在 の 脆弱 性 コン ブラ イア ンス ステ ー タ ス » 


1 件 の 誤 検 出 を 確認 | すべ て ダウ ン ロ ー ド <・ 2 件 中 1 - 2 件 を 表示 (フィ ル タ タ 済み ) 9・ 
国 陀 弱 性 の タイ トル 重大 度 TP アド レス 星宮 性 の 詳細 
[ ー ー 認 ョ ーー 19.H0.25 12 ゃ Le Tr Rs = 人 
ーー iiikt ロ ー コ 大 Web サー バ が 平文 の ベー シッ ク 認 証 を 使用 する 
a ER a (Web Server Uses Plain Text Basic 
Em wen Authentication) 
10.10.25.112 

QID: 86763 

重大 度 : 2 田 較 恒 

CVSS 基本 値 : 5 AV:N/AC:L/AU:NIC:PA-N/A:N 

CVSS 現状 値 : 3.8 E:URLU/RC:UC 

PCICompliance FAIL ® 

Status: 

CVSS basescore of 4.0 or greater results in an automatic failure 

カテ ゴリ : Web server 

ボー ト / サ ービス : 80 7Web server (tcp) 

譲 検出 : 該当 な し 

Bugtraq ID: 

CVE ID: 

ペン 巡 克 照 番号 : = 
< 則 P| 最終 更新 日 : 05/12/2009 06:17:19 | 

ョ ロロ 
誤 検出 リク エス ト 


PCI DSS コン プラ イア ンス 基準 の 定義 に 従っ て すべ て の 脆弱 性 を 修正 し た 後 、 そ の ホス ト に は 該当 し な いと 思 
れる 問題 が 残る こと が あり ます 。 こ の 場合 、 例 外 を リク エス ト し て 誤 検出 と 見 な され る よう に 指定 で きま す 。 この リ 
クエ スト を 実行 する 前 に 、 次 の ガイ ドラ イン に 従っ て すべ て の 改善 ステ ッ プ を 完了 し 、 脆弱 性 を 修正 し ます 。 


。 推奨 され る 解決 策 に 基づい て 、 ス キャ ン 結 果 で 分 っ た すべ て の 脆弱 性 を シス テム 管理 者 と 協力 し て 修正 
し ます 。 検知 され た 各 脆 弱 性 に つい て 、 そ れ ぞ れ 該 当 す る 解決 策 が 提供 され ます 。 


。 誤 検 出 を 送信 する 前 に 、 誤 検出 の 間 題 を 除く すべ て の 脆弱 性 を 必ず 修正 し て くだ さい 。 最後 の 再 ス キャ 
ン で は 、 必 ず 誤 検出 の 問題 の み が 表示 され る 状態 に し ます 。 


PCI コン プラ イア ンス サー ビス で 誤 検 出 が 生じ て いる と 思わ れる 場合 は 、「 ネ ットワーク 」ー「 脆 弱 性 」 を 選択 し て 誤 
検出 リク エス ト を 送信 し ます 。 送信 する 脆弱 性 の 横 に ある チェ ッ ク ボ ックス を オン に し て 、「 誤 検出 の 確認 」 を クリ ッ 
ク し ます 。 テク ニカ ル サ ポ ー ト の 担当 者 が リク エス ト の 送信 者 と 協力 し 、 こ の 問題 が 確か に 誤 検出 で ある こと を 確 
認 し ます 。 承認 され た 場合 、 そ の 誤 検 出 は 90 日 間 、 ユ ー ザ の 脆弱 性 リス ト お よび レポ ー ト に 表示 され な く な り ま 
す 。 
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再 ス キャ ン に よる 脆弱 性 の 修正 の 確認 


脆弱 性 を 修正 し た 後 で 再 ス キャ ン を 実行 し 、 シ ステ ム に 脆弱 性 が 残っ て いな いこ と を 確認 し ます 。 必要 に 応じ て 再 
スキ ャ ン を 繰り 返す こと で 、 改 善 の 進捗 状況 を 追跡 で きま す 。 スキ ャ ン の 横 の ⑳ を クリ ッ ク す る と 、 ス キャ ン 設 定 
を 入力 せ ず に スキ ャ ン を 再度 実行 で きま す 。 


⑳ い uscuARpr PCI om 
PCI コン ゴブ ライア ンス Jason Kim [Sports Shop. Inc.] | ヘルプ | ロダ アウ ト 
信 ホー ム スキ ャ ン 
呈 ネッ トワ ー ク - | | @ 新規 スキ ャ ン 検索 4 ④1- ュ /1 較 bb 多 | 
検出 詳細 再 スキ ャ ン ダウ ン ロ ー ド 脆弱 性 スキ ャ ンタ イト ル スキ ャ ンス テー タス スキ ャ ン 日 Y コン ブラ イア ンス キャ ン セ ル 
2 ©  @ 離 mW MyEdemalNetwork Scan 終了 12/12/2012 © 
スケ ジュ ー ル スキ ャ ン 
スキ ャ ン 結 果 a 
臣 性 
議 検 出 局 礎 


本 動 サー ビス レポ ボー ト 
コン ブラ イア ンス 


認証 用 の ネッ トワ ー ク レポ ー ト の 作成 


コン プラ イア ンス ステ ー タ ス で アカ ウン ト 内 の ホス ト 数 が コン プラ イア ンス を 達成 し た ホス ト 数 と 一 致し た ら 、 ネッ ト 
ワー クレ ポー ト を 作成 する 準備 が で きた こと に な り ま す 。 この 例 で は 、 ア カウ ント 内 の ホス ト 数 が 2、 コ ンプ ライ アン 
ス を 達成 し た ホス ト 数 が 2 に な っ て いま す 。 


⑳uvscuARpr PCI Bs sa 


PCI コン ブラ イア ンス 
倫 ホー ム ブラ イア ジス 入 ステー タス 
補 ネッ トワ ー ク ー - ーー 
あ コン プラ イア ンス | 全体 の ステ ー タ ス 本 ス ト 峰 絞 性 潜在 的 な 肝 弱 性 アク ショ ン 
コン プラ イア ンス ステ ー タ ス アカ ウン ト 内 2 ョ on 6 | 6 ーー 
送付 済み し ボート 稼動 し て いな い : 0 wm NED 0 @ MED 0 
国 Web アゴ リケーション ~ © 準 提 mLow 0 mLow 0 
| 同 診 票 = © 非 準 抱 
8 アカ ウン ト < の 最新 で は な い : ma 0 還 語 ーー 


サポ ー ト へ の お 問い 合 む 


レポ ー ト を 作成 する に は 、「Generate」 ボ タン (「 ア クシ ョ ン 」 の 下 ) を クリ ッ ク し た 後 、 レ ポー ト 生 成 ウ ィ ザ ー ド の 手順 
に 従い ます 。 レポ ー ト は 送信 済み レポ ー ト リス ト に 表示 され ます 。 


次 の ステ ッ プ : 
- PDF 形式 の オン ライ ンプ レビ ュー で 、 レ ポー ト の すべ て が 正確 に 記載 され て いる こと を 確認 し ます 。 


- レポ ー ト ウィ ザー ド ま た は 送信 済み レポ ー ト リス ト か ら 、 認定 スキ ャ ン ベ ン ダ (ASV) に 確認 を リク エス ト し ます 。 
確認 ステ ー タ ス ( 承 認 済み また は 却下 ) を 示す 電子 メー ル が 届き ます 。 


- ASV に よっ て 承認 され た レポ ー ト は 認証 済み と な り 、 PC|I 認定 の た め に アク ワイ アラ に 提出 で きる よう に な り 
ます 。 
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Web アプ リケーション スキ ャ ン 


PCI DSS v3.0 要件 6.6 に 従っ て 、 加 盟 店 は 公開 され て いる Web アプ リケーション の スキ ャ ン を 実行 し 、 検知 さ 
れ た 脆弱 性 を 確認 する 必要 が あり ます 。 PCI モジ ュー ル に より 、Web アプ リケーション スキ ャ ン 要 件 を 満た すこ と 
が で きま す 。Web アプ リケーション スキ ャ ン は 、 サブ スク リプ ショ ン に 対し て この オプ ショ ン が 有効 に な っ て いる 場 

合 に 利用 で きま す 。 この オプ ショ ン を 使用 する に は 、 ア カウ ント マネ ー ジ ャ また は サポ ー ト チー ム ま で お 問い 合わ 

せく だ さい 。 


PCI DSS 要件 の 範囲 内 の すべ て の アプ リケーション の うち Web アプ リケーション を PCI アカ ウン ト に 追加 し ます 。 
アカ ウン ト の IP アセ ッ ト を 表示 する に は 、「 ア カウ ント 」…「Web アプ リケーション 」 を 選択 し ます 。 Web アプ リ ケ ー 
ショ ン の 追加 は 、 購 入 し た アプ リケーション の 合計 数 まで 可能 で す 。 

Web アプ リケーション の 追加 


Web アプ リケーション を アカ ウン ト に 追加 する に は 、「 ア カウ ント 」…「Web アプ リケーション 」 を 選択 し て 「 新 規 」 リ 
ンク を クリ ッ ク し ます 。 


(⑳uuysGuARpr PCI 


oo SECURITY 


Jason Kim [Sports Shop. Inc.] | ヘル プ | ロダ アウ ト 


倫 ホー ム Web アゴ リケーション 
宝 ネッ トワ ー ク -| 1⑨ a 人 検索 4 4| 較 bb 錠 | 


@ コン フラ イア ンス ーー EE す 才 Zi) 
国 Web アブ リケーション < 
| 同 診 電 
8 アカ ウン ト 

設定 

IP ア セオ ト 

Web アプ リケーション 

ユー ザ 
@ サポ ー ト へ の お 同 い 合わ も 
田 リツ ー ス 


デー タ が 見 つか り ま せん 


Web アプ リケーション 設定 を 入力 し 、「 保 存 」 を クリ ッ ク し ます 。 これ ら の 設定 の 詳細 に つい て は 、 上 部 メニ ュー 
バー の 「 ヘ ルプ 」 を クリ ッ ク し て くだ さい 。 


新規 の WWeb アゴ リケーション 


Web アゴ リ ケー ショ ン の 詳細 

* タ イト ル : Demo Web Application 

* サ イト 10.10.26.238 

完全 修 侯 ドメイン 名 (FQDN〉( 例 mysite.com) ま た は IP アド レス ( 和 例 : 192.168.1.1) を 入力 し ます 。 

* ポ ー ト 80 

* 開 始 URI |/ 

ブラ ッ ク リ スト : 

プ ブラック リ スト に 記載 し て お く こ と で アプ リケーション に 対す る 溢 在 的 な 破壊 的 要因 を 回 避 で きま す 。 詳し く (は オン ライ ン ヘ ルプ を ご 覧 く 》 
認証 情報 

認証 情報 を 追加 する 前 に 新規 WWeb アゴ リケーション を 保存 し な けれ ば な り ま せん 。 Web アゴ リケーション を 編集 し て 情報 を 追加 し ます 。 
保存 キャ ン セ ル 


PCI Compliance 操作 ガイ ド 7 


認証 レコ ー ド と は - HTML フォ ー ム の 認証 は オプ ショ ン で す が 、Web アプ リケーション の スキ ャ ン で は 必要 と な る 
場合 が あり ます 。 認証 方 法 と し て 、HTTP Basic サー バ ベ ー ス 認証 と シン プル な フォ ー ム 認証 が サポ ー ト され て い 
ます 。Web アプ リケーション の 認証 が 必要 な 場合 は 、Web アプ リケーション を 編集 し て 1 つ 以 上 の 認証 レコ ー ド 
を 追加 し て くだ さい 。 


Web アプ リケーション スキ ャ ン の 開始 


Web アプ リケーション リス ト で 、Web アプ リケーション の 横 の 「 ス キャ ン 」( ま た は 「Web アプ リケーション 」 っ 「 ス 
キャ ン 」 で 「 新 規 ス キャ ン 」) を クリ ッ ク し ます 。 


Web アゴ リケーション 


| @ 新規 検索 4⑳ 4|1-1/1 較 bb| 
スキ ャ ン 詳細 特集 タイ トル サイ ト 更新 日 
スキ * ン ③ 国 DemoWebApplication 10.10.26.238 12/14/2012 


スキ ャ ン 設 定 を 選択 する 際 、 多く の デフ ォ ル ト 設 定 が あり ます 。 認証 を 使用 する 場合 、Web アプ リケーション に 対 
し て 定義 済み の 認証 レコ ー ド を 選択 し ます 。「OK」 を クリ ッ ク す る と 、 ス キャ ン が 開始 され ます 。 


(⑳uAuysGuARpr PCI (ooo sic 


PCI コン ゴブ ライア ンス Jason Kim [Sports Shop. Inc.] | ヘル プ | ロダ アウ ト 


新規 Web アブ リケーション スキ ャ ン 


スキ ャ ン 設 定 
* タ イト ル : My Web Application Scan 
* ア ゴブ リケーション: Demo Web Application M 正 新 規 
認証 情報 Demo App - Form Authentication マ 
* フォー ム の 送付 : | フォ ー ム へ の 送信 を 許可 し な い ご 
信 回 する 最大 リン ク 数 
帯域 性: 
詳細 オプ ショ 
スキ ャ ン 日 
⑨ 今 すぐ 開始 〇 後 で 開始 


OK キャ ン セ ル 


2012 Qualys, Inc 


「Web アプ リケーション 」…「 ス キャ ン 結 果 」 で スキ ャ ン を 表示 し て 、 進 行状 況 を 追跡 し た り 、 検 知 され た 脆弱 性 を 示 
す ス キャ ン 結 果 を ダウ ン ロ ー ド し た りす る こと が で きま す 。 
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自己 評価 問診 票 


PCI デー タ セ キュ リティ 基準 で は 一 部 の 加盟 店 に 対し 、『PCI DSS: Self-Assessment Questionnaire: 
Instructions and Guidelines』 に 従っ て 12 か 月 ご と に 自己 評価 問診 票 (SAQ) を 実施 する こと を 規定 し て いま す 。 
この 文書 は 、PCI サー ビス か ら ダ ウン ロー ド で きま す 。 「 問 診 票 」ー「 新 し い 問 診 票 」 を 選択 し 、「Download」 を ク 
リッ ク し ます 。 


新しい 問診 票 の 作成 


「 間 診 票 」ー「 新 し い 問診 票 」ー「SAOQ Library」 を 選択 し 、 組 織 に 応じ て 適切 な v3 SAQ(A、B、C な ど ) を ダウ ン 
ロー ド し ます 。 


⑳ OUALYS PCI rouse @ Quarrs 


Jason Kim [Sports Shop, Inc.] | ルプ 1 ログ ダグ アウト 


倫 ホー ム 新しい 間 診 款 の 作成 
呈 ネッ トワ ウー ク ~ 
OW コン ブラ イア ンス ~ 
国 Web アブ リケーション 
| 同 疹 款 = 


自己 評価 問診 表 の 選択 


PCI 自己 評価 問診 票 (SAQ) は 、 吉 盟 店 お よび ば サー ビス プロ バイ ダ が Payment Card Industry Data Security 
Standard (PCI DSS) に 準拠 し て で いる か どう か を 自己 評価 を 通じ て 検証 する た め の 支 援 シ ター ル で す 。PCI SAQ 


保存 済み の 病 只 奈 に は 複数 のみ バー ジョ ン が あり 、 組 織 が クレジット カー ド の デー タタ を どの よう に 処理 し て いる か に よっ て 使用 す 
本 る バー ジョ ン は 異な が り ま す 。 
EL PCI SAQ v3 Content : 

名 アカ ウン ト 

W サポ ー ト へ の お 向い 合わ 


国 し Ok つと に L ヽ es ーー 


《⑩ Download SsAQLibrary 


Need help determining which Select and download a 
PCI SAQ applies to you? SAQ from the Standards & 
Documents Library 


Interested in SAQ v2.0? 


SAQ v2 was deprecated on January 1, 2014. If you would like to reference previously saved v2 questionnaires, 
go here: 


保存 済み の 問診 票 


< I | ト 


どの 問診 票 を 選択 すれ ば よい か わか ら な い 場 合 は 、「Download」 を クリ ッ ク し て 、『Instructions and Guidelines』 
を 参照 し て くだ さい 。 こ の 文書 に は 、 ど の バー ジョ ン の 問診 票 を 選択 すれ ば よい か に 関す る 情報 が 詳し く 記載 され 
て いま す 。 


次 の ステ ッ プ 


間 診 束 の すべ て の 質問 に 回 答 し た ら 、 ア クワ イア ラ に 送付 する 準備 が で きた こと に な り ま す 。 PCI Council の 指示 
に 従っ て 問診 票 を 送信 し ます 。 
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PCI コン プラ イア ンス ステ ー タ ス の 確認 


「 ホ ー ム 」 ペ ー ジ に PCI コン プラ イア ンス ステ ー タ ス が 表示 され ます 。 四半 期 の 外部 ネッ トワ ー ク スキ ャ ン 要 件 が 

満た され て いる 場合 、「 ネ ットワーク スキ ャ ン 」 に の マー ク が 付き ます 。 SAQ の コン プラ イア ンス ステ ー タ ス 、 
回 答 数 、 日付 は 、 保存 され た 問診 票 に 基づい て いま す 。 QualysGuard PCI サー ビス 以外 で 実施 され た v3 の 問 
診 票 に 関す る 情報 は あり ませ ん 。 


(⑳ い uscuARpr PCI ee 
本 こ = ^ 
ーー テテ ーー ネッ トワ ー ク スキ ャ ン FAQ 
準拠 スキ ャ ン の 開始 | | アセ ッ ト ウ ィ ザ ー ド ネッ トワ ー ク スキ ャ ン 


キ 
PCI ス キャ ン の た め の IPS の 構成 方 
法 を 教え て くだ さい 。 


スキ ャ ン の 対象 に な る の は 、 ど の よ 
うな P ア ドレ ス で すか 。 


スキ ャ ン を 実行 し た 後に 必要 な 手 
順 は 何で すか 。 


レポー ト の 生成 方 法 を 教え て くだ さ 
We 


⑧ コン ブラ イア ンス 

局 Web アゴ リケーション - 

飛 癌 論 票 ・ 

る アカ ウン ト ・ 

@ サポ ー ト へ の お 同 い 合 
男 リソース 


ーーーーーーーーーーーーー | 
自己 評価 問診 票 3 素 の 記入 は 放 が 行う べき で す 
完了 送付 | | SA0 ウィ ザー ド か 。 


問診 票 | に | は 何 種類 の パー ジョ ン が 
あり ます か 。 


問診 票 の 記入 方 法 を 教え て くだ さ 
We 


全般 
ログ イン 認証 情報 の 変更 方 法 を 孝 
えて くだ さい い 。 


その 他 の 情報 
PCI コン プラ イア ンス 要件 を 満た す た め の 参考 資料 と し て 、 次 を 参照 に し て くだ さい 。 


QualyS コミ ュ ニ ティ : How to Satisfy the New PCI Internal Scanning Reduirements 
httpS://Community.dualyS.com/docs/DOC-3923 


PCI Security Standard Council 
https://www.pcisecuritystandards.org/ 


PCI デー タ セ キュ リティ 基準 
https://www.pcisecuritystandards.org/security_standards/index.php 


PCI DSS: Self-Assessment Questionnaire (自己 評価 問診 票 
https://www.pcisecuritystandards.org/merchants/self assessment form.php 


PCI セキ ュ リ ティ 基準 に 関す る 文書 


https://ww.pcisecuritystandards.ord/Security_standards/documents.php 
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